Il phishing che fa leva sulle Progressive Web App (PWA) ha il pregio di smentire e nel medesimo tempo confermare un’osservazione fatta durante gli ultimi mesi, periodo durante il quale si è osservata una diminuzione del phishing in quanto tale e un’impennata dei siti fasulli.
Questa tecnica, pure confermando l’aumento dei siti fasulli come chiavistello per superare la cyber defense, rilancia anche il tema del phishing in una modalità di diffusione ancora più sofisticata.
Per descrivere il phishing via PWA abbiamo fatto ricorso all’esperienza di Salvatore Lombardo, esperto ICT e socio dell’Associazione italiana per la Sicurezza informatica (Clusit).
Indice degli argomenti
Phishing tramite PWA
Le Progressive Web App sono applicazioni sviluppate in linguaggi di programmazione comuni (come HTML o JavaScript) e possono essere istallate sui dispositivi richiamando in tutto e per tutto, anche nelle notifiche, le applicazioni native.
Come spiega Salvatore Lombardo: “Le Progressive Web Apps consentono agli sviluppatori di creare piattaforme che consentono interazioni simili a quelle delle app mobile native garantendo immediatezza, fruibilità e velocità di navigazione. Browser come Google Chrome e quelli basati su Chromium incluso Microsoft Edge, supportano le PWA. Sono in pratica uno strumento legittimo ibrido tra pagine web e applicazioni mobili che può comunque essere sfruttato anche dai cyber criminali per allestire attacchi di phishing che tradizionalmente ci si aspetta avvengono tramite e-mail o siti web contraffatti”.
Perché è difficile riconoscerle
Riconoscere le PWA truffaldine non è impossibile, tuttavia, serve un occhio critico e allenato, come illustra Salvatore Lombardo: “Riconoscere il phishing via PWA può essere più complicato, ma ci sono sempre alcuni segnali da sapere interpretare come allarme: richieste di installazione sospette, presenza di errori grammaticali o ortografici nei contenuti, un design con grafica di bassa qualità, richieste di informazioni personali con urgenza.
Su GitHub è disponibile un kit dimostrativo che può essere usato al fine di fornire una dimostrazione pratica agli utenti ed è una buona pratica da attuare all’interno di aziende e organizzazioni.
I rimedi
Il rimedio, ancora prima di essere un supporto software, è la cultura digitale. Un occhio vigile può evitare di cadere nella trappola ma, sottolinea Salvatore Lombardo: “Adottando alcune precauzioni, si può ridurre significativamente il rischio di cadere vittima di phishing via PWA. Tra queste la verifica dell’URL del sito web prima di inserire qualsiasi informazione personale, evitare installazioni sospette, mantenere sempre aggiornati antivirus e, con le ultime patch di sicurezza, sistema operativo e browser web, diffidare delle richieste urgenti”.
Le tecniche adottate dagli hacker si fanno sempre più smaliziate e, come al solito, la cautela degli utenti è un’arma che stempera la furbizia degli attaccanti.
